Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

脆弱性評価とは?

解答はこのページにあります。ここにある情報を活用して脆弱性評価を始めましょう。

脆弱性評価とは、リスクに備えて企業のアタックサーフェス全体を継続的にスキャンして監視することで、ネットワークに潜む脆弱性を特定し、評価するプロセスです。企業をリスクにさらす可能性のある脆弱性からネットワークを守るための最初の一歩となります。

残念なことに、サイバーセキュリティ専門家の約 60% が脆弱性スキャンを定期的に実行しておらず、その多くが「公開された脆弱性を全くスキャンしていない」と語っています。そのような状況を避けるために、プログラムの強化方法に関する推奨事項を提案し、お客様が脆弱性評価のベストプラクティスを採用できるよう Tenable がサポートします。

脆弱性評価を理解する

次の 5 つの項目をご紹介しています。

脆弱性スキャンを始める方法

5つの簡単なステップで最初の Nessus 脆弱性スキャンを実行しましょう。脆弱性評価に関する他のブログ記事もお読みください。

詳細はこちらから

脆弱性評価の基礎をマスターする

アタックサーフェス内の重大な欠陥を特定して、脆弱性と設定ミスを検出し、評価しましょう。

詳細はこちらから

脆弱性評価についてよくあるご質問

脆弱性評価に関する質問をご確認いただけます。

詳細はこちらから

脆弱性評価ソリューション

Nessus を導入すれば、資産全体のすべてのエクスポージャーと脆弱性を一元的に把握できます。

詳細はこちらから

Tenable Connect - Tenable Vulnerability Assessment

Tenable Connect は、脆弱性評価について語り合い、質問し、ヒントを共有するのに最も適した場所です。

詳細はこちらから

アタックサーフェス全体の監視と保護のための継続的な脆弱性評価

脆弱性評価は、全資産の Cyber Exposure に対する包括的なインサイト (脆弱性、設定ミス、セキュリティの健全性指標など) を得る上で不可欠です。Nessus を導入すれば、脆弱性や設定ミスを確実に修正できていることが検証でき、確信が持てるようになります。また、関連する情報がセキュリティ情報イベント管理 (SIEM) システムに自動的に直接送信されるため、より多くの情報に基づいて、ネットワーク内で検出された弱点への対応方法を判断することができます。

詳細はこちらから

脆弱性評価プロセスを理解する

脆弱性評価プログラムの導入は大仕事ですが、アタックサーフェス全体を徹底的にカバーするためには欠かせません。

脆弱性評価プログラムの導入準備が企業内で整っていても、どこから手を付ければよいか分からない場合があります。ここでは、脆弱性評価プログラムの基盤を構築し、企業の経時的な変化や進化に合わせて脆弱性評価プログラムを改善するために実行できる 5 つの手順を紹介します。

詳細はこちらから

断片的な脆弱性管理ツールがもたらす課題を克服するために

何十年もの間、アタックサーフェス保護のために包括的な防御態勢の構築を検討してきた企業は、さまざまなソリューションを組み合わせる必要がありました。そして環境が変化するたび、通常、セキュリティチームは新しい環境の可視化のために新しい評価ツールを追加しなければなりませんでした。残念ながら、このように異なるソリューションを組み合わせている場合、データがサイロ化していることが多く、アタックサーフェスの全体像の把握がほぼ不可能になります。これによりセキュリティ上の死角が生じ、攻撃者に弱点を晒すことになります。

単一目的のツールの使用は、もはや DX 時代の脆弱性評価において効果的ではありません。セキュリティチームは不完全なデータに圧倒されており、実際のリスクがどこにあるのか、修復の優先順位をどのように設定すべきか、リスクベースの脆弱性管理プログラムを維持するために何をすべきかを理解することが困難になっています。

このホワイトペーパーでは、以下について詳しく説明します。

  • チームがテクノロジーに対して過負荷に陥っている理由
  • 異なるセキュリティソリューションの利用によって生じる問題
  • 攻撃者が実際に悪用した潜在的な脅威の実例
  • リスクベースの脆弱性管理プログラムが必要な理由

続きを読む

その他の重要ポイント

  • 攻撃者は、平均でセキュリティチームよりも少なくとも 7 日間先行している
  • 調査した脆弱性の約 34% では、エクスプロイトは脆弱性が公開された当日中に利用可能だった



ページトップに戻る

サイバーディフェンダーストラテジーの成熟度を測定してみる

脆弱性評価戦略が明らかにするものを理解する

脆弱性評価に関して、Tenable Research は企業の 4 つの評価スタイルを導き出しました。最も成熟したスタイルから「勤勉型」、「調査型」、「概観型」、「最小主義型」です。各スタイルの概要は次のとおりです。


勤勉型

勤勉型

最高レベルの成熟度です。「勤勉型」に該当する組織は、全体のわずか 5%。運輸、ホスピタリティ、エレクトロニクス、金融および電気通信業界の企業が大多数を占めています。

インベスティゲイティブ

調査型

中~高レベルの成熟度です。約 43% の企業が該当します。エンターテインメント、公共事業、教育、ヘルスケア業界の企業が大部分を占めています。

概観型

概観型

低~中レベルの成熟度であり、約 19% の組織が該当します。公共事業産業の企業や組織が多くを占めています。

最小主義型

最小主義型

成熟度レベルが最も低く、約 33% の企業が該当します。業界は均等に分散しています。



5 つの関連する KPI (スキャンの頻度、スキャンの強度、認証の範囲、資産の範囲、脆弱性の範囲) を評価することで、組織の脆弱性評価スタイルを把握することができます。



ページトップに戻る

コミュニティの力を活用

脆弱性評価におけるニーズと Tenable の知識が 1 か所に

脆弱性評価についてご質問がありますか? 脆弱性評価の専門家のアドバイスをお求めですか? 脆弱性評価のコミュニティと共有したいアイデアをお持ちですか? Tenable Connect コミュニティは、脆弱性アセスメント関連のツールやベストプラクティスを含め、質問をしたりヒントを共有したりするのに最適な場所です。

コミュニティに参加する

今、次のような会話が交わされています。

既にスキャンしたシステムのレポートを作成するにはどうすれば良いですか?

先週、100 個のシステムに対する脆弱性評価を 1 回のスキャンで行いました。そのうち 4 分の 3 のシステムの IP アドレスに対するレポートを取得したいのですが、どうすれば良いですか?

回答を見る

Nessus では、バックポートしたパッチはどのように取り扱われてますか?

Nessus では、誤検出を防止するために backport.inc を利用しています。backport.inc には、既知のサービスバナーからより新しい任意のバージョンのサービスバナーへのマッピングが含まれます。

回答を見る

四半期ごとの PCI 外部スキャンと PCI 内部ネットワークスキャンはどう違いますか?

四半期ごとの PCI 外部ポリシーは公式の認証で有効ですが、いずれのポリシーも、いつでもスキャンに使用できます。

回答を見る



ページトップに戻る

脆弱性評価についてよくあるご質問

セキュリティ上の脆弱性とは何ですか?

セキュリティ上の脆弱性とは、攻撃者が悪用してネットワークを侵害し、データやシステムへ不正にアクセスする、ハードウェアまたはソフトウェアの欠陥、バグまたはプログラムの不具合 (設計上のミス) のことです。

脆弱性評価とは?

脆弱性評価とは、アタックサーフェス内の弱点を検出し、分析・修正することで、攻撃者がネットワークを悪用してシステムやデバイスに不正アクセスする可能性を低くするための方法です。

企業のアタックサーフェスとはどのようなものですか?

企業のアタックサーフェスは、ネットワーク上の IT 資産により構成されています。これらの資産にはインターネットを介して外部に露出される部分が複数あり、悪用されるリスクとなり得ます。過去のアタックサーフェスは、主にサーバーやネットワークなどの従来の IT 資産でした。しかし、現代の IT アタックサーフェスには、スマートフォン、デスクトップパソコンやノートパソコンなどのモバイルデバイス、さらには仮想マシン、クラウドインフラストラクチャ、ウェブアプリ、コンテナや IoT デバイスが含まれます。

ペネトレーションテストとは何ですか?

ペネトレーションテストは、アタックサーフェス上の弱点を検出する方法の一つです。脆弱性評価プログラムの目標は、これらの弱点を検出し、攻撃者に悪用される前に修正することです。ペンテスト、またはペンテスティングとも呼ばれるペネトレーションテストは、ネットワークの弱点を検出するのに役立ちます。ペンテスティングは独立した活動であり、継続的なプロセスではありません。多くの場合、第三者が実施します。ペンテストは、頻繁に、例えば最低四半期ごとに実施することが好ましいです。その結果、脆弱性評価や脆弱性管理プログラムの有効性を詳細に把握することができます。

ペネトレーションテストにはどのような段階がありますか?

一般的に、ペネトレーションテストでは、どのような目標と結果を想定して誰がテストを実施し、テストの範囲を決定する準備、テストの実行、テスト結果の報告、どのように修正にあたるかを検討するフォローアップ、そして必要に応じて再テストを実施する、5 つのステージを経ることになります。

脆弱性評価とペンテストはどう違いますか?

ペネトレーションテストでは、特定の時点におけるアタックサーフェス内の弱点に対する情報が得られます。このテストは、脆弱性評価や脆弱性管理プログラムの有効性を詳しく把握するのに役立ちます。また、改善すべき領域の決定にも役立ち、脆弱性評価プロセスを強化するための目標設定の礎となります。脆弱性評価や脆弱性管理プロセスはペンテストとは異なり、組織の Cyber Exposure 全体をより総合的に、継続的に把握するためのものです。

ペンテストには他のアプローチがありますか?

はい。ペンテストに採用できる主なアプローチは、2つあります。1 つはホワイトボックステストで、もう一方のブラックボックステストに比べて、より対象を絞ったテストです。ホワイトボックステストでは、テスターは対象に対する情報を既に持っていることが一般的です。ブラックボックステストでは、対象の追加情報はテスターには共有されません。ブラックボックステストでは、テスターは認証情報なしでネットワーク全体をスイープを行いますが、ホワイトボックステストは、一般的に認証された環境内で行われます。Nessus Professional は、これら両方のペンテストにご利用いただけます。

脆弱性スキャナーとは何ですか? また何をするものですか?

脆弱性スキャナーは、ネットワーク、サーバー、オペレーティングシステム、およびアプリケーションなどの IT インフラに潜む設定ミス、脆弱性および他のセキュリティ上の問題の検出に役立ちます。パッシブネットワークモニターにより、環境を安全かつ非侵襲的にスキャンを実行して、アタックサーフェス内の盲点を排除できるため、脆弱性を検出し、その修正活動を優先順位付けできます。

なぜ脆弱性評価が必要なのですか?

脆弱性評価は、包括的なサイバーセキュリティプログラムの重要な部分です。脆弱性評価により、ネットに露呈している資産やリスクに対するインサイトを得ることができ、IT アタックサーフェス (ネットワークに接続された資産など) 内のどこに抜け穴や弱点があるかを確認し、修正の計画を立てられるようになります。脆弱性評価は、企業が直面する真のリスクを把握し、環境内の脆弱性について理解するのに役立ちます。


トップに戻る

脆弱性評価ソリューション

継続的な脆弱性評価は、脆弱性管理プログラムの重要な要素です。脆弱性評価は、アタックサーフェス内で Cyber Exposure がある場所、悪用される可能性のある脆弱性の量と種類、それらの脆弱性が企業にもたらす可能性のある潜在的なリスクについての情報を提供してくれます。脆弱性評価によって、これらのリスクを発見して優先順位付けすることができます。

現代のアタックサーフェスは、従来の IT、一時的な資産、モバイル、動的資産およびオペレーションテクノロジーなどの、多様な資産から構成されています。アタックサーフェスに対する完全な可視性なしに、これらすべてのデバイスにわたって脆弱性や不適切な構成を診断することは困難です。しかし、Nessus のような単一の脆弱性評価プラットフォームを使用すれば、すべてのエクスポージャーおよび脆弱性を一元的に把握することができます。

脆弱性評価の利点と、脆弱性評価が包括的なサイバーセキュリティプログラムの一部として採用すべき重要なプロセスである理由は、次のとおりです。

脆弱性評価の強み

  1. Cyber Exposure の認識

    脆弱性評価は、アタックサーフェス全体における脆弱性、設定ミス、その他の弱点を特定する上で役立ちます。

  2. 設定とパッチの監査

    組織の目標に応じて、脆弱性や設定ミスを確実に修正するのに役立ちます。

  3. インシデント管理情報

    脆弱性と設定不適切な構成に関する情報を SIEM に自動的に送信してイベントデータを強化し、調査に向けてイベントを優先順位付けし、チームの対応方法を明確にできます。

  4. プロセスの有効性確認

    サイバーセキュリティプロセスに関する現在の状況を把握できるため、プロセスの効果の実態と、プログラム全体の改善のためにするべきことがインサイトとして得られます。

ページトップに戻る

Nessus - 業界を代表する脆弱性評価ソリューション

ネットワーク上の資産や脆弱性は絶えず変化しています。Nessus Professional ならその全体像を把握し、アタックサーフェス全体を保護できます。

Nessus Professional を無料で試す

脆弱性評価に関するブログ記事

脆弱性スキャンをペネトレーションテストで使用する方法

脆弱性スキャンをペネトレーションテストで使用する方法

ペネトレーションテストは、脆弱性評価プログラムの重要な要素の 1 つです。ペネトレーションテストを実行することで、アタックサーフェスを網羅的に調査して弱点を洗い出し、被害が及ぶ前に修正することができます。

続きを読む

セキュリティチームと脆弱性への対応

脆弱性インテリジェンスインサイトの中で注目すべき 3 項目

次から次へと発生する脆弱性との果てしない戦いにサイバーセキュリティチームは直面しています。以前は、ニュースの見出し、フォーラムやその他のリソースを徹底的に調べて、最も注目を集めている脆弱性を確認することが大きな仕事でした。

続きを読む

Nessus で脆弱性スキャンを始める方法

Nessus で脆弱性スキャンを始める方法

Nessus の登場により、脆弱性評価がこれまでになく簡単になりました。Nessus の脆弱性評価では、ネットワークに対する十分な可視性が得られるため、脆弱性の発見と修正に向けた計画を立てることができます。簡単なステップで、脆弱性評価を実行することができます。

続きを読む



ページトップに戻る

脆弱性評価から憶測を排除する

Nessus はポイントインタイム評価を自動化し、幅広いオペレーティングシステム、デバイス、およびアプリケーションのソフトウェアの欠陥、未適用のパッチ、マルウェア、設定ミスなどの脆弱性をすばやく特定して修正します。

包括的なアセスメント

信頼性

Nessus は世界中の数万に及ぶ企業に信頼されており、200 万回ダウンロードされています。フォーチュン 500 の 65% の企業が Nessus を採用しています。

予測に基づいた優先順位付け

正確さ

Nessus の誤検出率は業界で最も低く、シックスシグマ・レベルの正確さに裏付けられています (スキャン 100 万回当たり 0.32 回のエラー)。

動的な資産のトラッキング

包括的なカバレッジ

Nessus は、311,000 個以上のプラグインに対応しており、業界で最も深く、幅広い範囲を網羅しています。114,000 件以上の CVE、および毎週リリースされる 100 件以上の新しいプラグインをカバーし、脆弱性の開示から 24 時間以内に対処します。

ネットワークのパッシブモニタリング

リアルタイム診断

Nessus は、14 万個以上のプラグインをリアルタイムかつ自動的にアップデートすることで、最新の脆弱性およびマルウェアに関する最もタイムリーな情報を提供します。診断・調査の時間を削減し、すばやく修正できるようになります。

クラウドの可視性を自動的に維持

インサイトと可視性

複数の法人向け脅威インテリジェンスフィードとのシームレスな統合により、環境全体のホストで実行される可能性のあるマルウェアに対する情報を提供します。評価する度に、脆弱性に対する深い可視性が得られます。

構築済みの統合と柔軟な API

使いやすい

セキュリティ実務者がセキュリティ実務者のために開発した Nessus は、直感的な体験を提供することに焦点を絞り、より迅速かつ確実に脆弱性を発見・修正できるよう設計されています。



ページトップに戻る

Nessus - 脆弱性評価から憶測を排除する

脆弱性評価のデファクトスタンダードを今すぐ無料でお試しください。

Nessus Professional を無料で試す



ページトップに戻る

  • Tenable Nessus
無料で試す今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management のトライアルには Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料で試す今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management のトライアルには Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料で試す今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management のトライアルには Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料で試す今すぐ購入する

Tenable Web App Scanning をお試しください

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップ!

Tenable Web App Scanning のトライアルには Tenable Vulnerability Management も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

デモを申し込む

Tenable Security Center

ビジネスに対するリスクに基づいて脆弱性を特定し、優先順位を付けるオンプレミス型のソリューション

デモを申し込む

Tenable OT Security

OT/IT が融合された環境で OT エクスポージャーが解決できる統合セキュリティソリューション

デモを申し込む

Tenable Identity Exposure

アイデンティティエクスポージャーを解決する、優秀なアイデンティティ管理が必要な企業には欠かせないソリューション

デモを申し込む

Tenable CNAPP

実行可能なクラウドセキュリティプラットフォームでクラウドエクスポージャーを解決

デモを申し込む

Tenable One

世界をリードする、AI を活用したエクスポージャー管理プラットフォーム

デモを申し込む

Tenable AI Exposure

チームによる AI プラットフォームの利用状況を可視化・保護・管理

デモを申し込む

Tenable Attack Surface Management

インターネットに接続された資産を完全に可視化することで、盲点や未知のリスク源を排除

デモを申し込む

Tenable Enclave Security

IT やコンテナの脆弱性を把握して可視化して解消

無料で試す今すぐ購入する

無料で Tenable Nessus Professional を試す

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を短縮し、IT チームの積極的な関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスを選択

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加
今すぐ購入
既存のライセンスを更新する リセラーを検索する
無料で試す今すぐ購入する

無料で Tenable Nessus Professional を試す

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Nessus Pro を購入する

脆弱性評価のゴールドスタンダードを導入し、IT 環境全体のセキュリティギャップを特定・修正しましょう。

1 年ライセンス
$4,390
今すぐ購入する
ライセンスを更新する リセラーまたはディストリビュータを探す
  • リアルタイムの脆弱性更新
  • 無制限の脆弱性スキャン
  • 設定およびコンプライアンス監査のための事前定義ポリシー
  • 脆弱性のスコアリングによる優先順位付け
  • カスタマイズ可能なレポート
  • 柔軟度の高い導入
お得な複数年ライセンス

2 年ライセンスなら
$8,560.50
今すぐ購入

3 年ライセンスなら
$12,511.50お得
今すぐ購入
無料で試す今すぐ購入する

無料で Tenable Nessus Expert を試す

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスを選択

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加
今すぐ購入
既存のライセンスを更新する リセラーを検索する
無料で試す今すぐ購入する

無料で Tenable Nessus Expert を試す

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

脆弱性評価を拡張し、Web アプリケーションのスキャンや外部アタックサーフェスの探索スキャンなど、より高度な機能を追加しましょう。

1 年ライセンス
$6,390
今すぐ購入する
ライセンスを更新する リセラーまたはディストリビュータを探す
  • リアルタイムの脆弱性更新
  • 無制限の脆弱性スキャン
  • Web App Scanning (5 FQDNs)
  • 外部アタックサーフェスの探索スキャン (5 ドメイン)
  • 設定およびコンプライアンス監査のための事前定義ポリシー
  • 脆弱性のスコアリングによる優先順位付け
  • カスタマイズ可能なレポート
  • 柔軟度の高い導入
お得な複数年ライセンス

2 年ライセンスなら
$12,460.50お得
今すぐ購入

3 年ライセンスなら
$18,211.50お得
今すぐ購入
デモを申し込む

Tenable Patch Management

セキュリティと IT の連携を合理化して自動化で平均修正時間 (MTTR) を短縮

× 営業チームに問い合わせる

営業担当者とコンタクトする